Оптимизация программного обеспечения клиента NetWare

Обзор

В этой главе рассматриваются вопросы оптимизации программного обеспечения NetWare^(r) Client^TM для увеличения скорости взаимодействия рабочей станции с сетью за счет использования протокола Packet Burst^TM и Large Internet Packet (LIP). В ней также изучаются вопросы защиты информации на рабочей станции-клиенте.

В этой главе рассматриваются следующие темы:

"Увеличение скорости".
"Улучшение защиты".
"Использование других руководящих принципов защиты на рабочей станции".

Введение

Вы можете увеличить скорость и улучшить защиту рабочей станции-клиента, используя протокол Packet Burst и Large Internet Packet (LIP), а также предоставляемую NetWare 4^TM и NetWare 3.12 возможность подписи пакета NCP^TM.

Увеличение скорости

NetWare 3.12 и 4 поддерживают технологии Packet Burst и Large Internet Packet, которые позволяют увеличить для рабочей станции-клиента скорость доступа к сетевым ресурсам и сервисам.

Использование протокола Packet Burst

Протокол Packet Burst позволяет поддерживать высокопроизводительную передачу данных между рабочими станциями-клиентами и серверами.

Некоторые сетевые архитектуры, например, Ethernet и token ring, позволяют посылать по сети большие пакеты. Использование LIP (Large Internet Packet) повышает пропускную способность мостов и маршрутизаторов за счет увеличения размера пакетов.

В последующих подразделах описаны параметры, используемые в конфигурационном файле рабочей станции-клиента (NET.CFG), и процедуры их установки.

По умолчанию программное обеспечение NetWare DOS Requester^TM использует на рабочей станции-клиенте протокол Packet Burst.

Требования для Packet Burst

Код протокола Packet Burst занимает около 6 Кб памяти. Однако по умолчанию запросчик NetWare для DOS (NetWare DOS Requester) использует архитектуру Open Data-Link Interface^TM для Packet Burst и не требует дополнительной памяти рабочей станции.

Как работает Packet Burst

Во время установления соединения с каждым сервером согласовывается максимальный размер информационной посылки (burst). Это согласование носит индивидуальный характер для каждого соединения, поэтому станция может использовать Packet Burst для работы с каким-либо одним сервером и не использовать этот протокол для работы с другим сервером.

После того как установлено соединение по протоколу Packet Burst между рабочей станцией-клиентом и сервером NetWare, рабочая станция-клиент автоматически использует сервис Packet Burst каждый раз, когда поступает запрос от приложения на запись более чем одного физического пакета данных.

Когда использовать Packet Burst

Packet Burst не требуется для каждой инсталляции; однако запрещение LIP окажет заметное уменьшение скорости. Администраторы сети могут не использовать Packet Burst, если некоторые серверы, к которым присоединяются рабочие станции-клиенты, не поддерживают этот протокол.

Конфигурирование Packet Burst

Хотя Packet Burst автоматически разрешен в запросчике NetWare для DOS, Вы можете настроить его в соответствии со своими нуждами.

Смотрите "PB BUFFERS=число", "PBURST READ WINDOWS SIZE=число" и "PBURST WRITE WINDOWS SIZE=число" для получения более подробной информации относительно конфигурирования Packet Burst.

Запрещение Packet Burst

Чтобы запретить использование Packet Burst на рабочей станции-клиенте, добавьте следующую строку в файл NET.CFG под заголовком "NetWare DOS Requester":


      pb buffers = 0

Например:


      netware dos requester

      pb buffers=0

Использование возможностей LIP

Large Internet Packet (LIP) позволяет делать размер пакета больше установленного по умолчанию значения в 576 байтов. По умолчанию LIP используется программным обеспечением запросчика NetWare для DOS.

Как было отмечено ранее, размер пакетов, проходящих через мосты и маршрутизаторы в сетях NetWare, ограничен 576 байтами. Некоторые сетевые архитектуры, такие, как Ethernet и token ring, позволяют пересылать по сети пакеты большего размера.

LIP повышает пропускную способность мостов и маршрутизаторов посредством увеличения размера пакета, если только мосты и маршрутизаторы не имеют собственного ограничения в виде меньшего размера пакета.

Технология Large Internet Packet используется по умолчанию программным обеспечением запросчика NetWare для DOS на рабочей станции-клиенте.

NOTE: Некоторые драйверы ЛС могут работать некорректно при использовании этого параметра. Если Вы столкнетесь на практике с такими проблемами, запретите этот параметр или обновите Ваш драйвер.

Как работает Large Internet Packet

В предыдущих версиях NetWare программное обеспечение NetWare Client^TM являлось инициатором процесса согласования размера пакета с сервером.

Если программное обеспечение сервера NetWare обнаруживало маршрутизатор между сервером и рабочей станцией-клиентом, то сервер возвращал клиенту NetWare значение максимального размера пакета, равное 576 байтам.

В текущей версии NetWare программное обеспечение клиента NetWare все еще инициирует согласование размера пакета. Однако в связи с возможностью использования LIP сервер NetWare уже не возвращает размер пакета 576 байтов при обнаружении маршрутизатора.

Вместо этого программное обеспечение клиента NetWare и программное обеспечение сервера NetWare начинают согласовывать размер пакета, чтобы выбрать наибольший.

Когда использовать Large Internet Packet

Large Internet Packet не требуется для каждой инсталляции; однако запрещение LIP окажет заметное уменьшение скорости. Администраторы сети могут не использовать Large Internet Packet, если некоторые серверы, с которыми соединяются рабочие станции-клиенты, не поддерживают его, например, серверы NetWare 2 и NetWare 3.11 и более ранних версий.

Конфигурирование Large Internet Packet

Хотя LIP автоматически разрешается в запросчике NetWare для DOS, Вы можете настроить его в соответствии со своими потребностями.

Смотрите "LARGE INTERNET PACKETS=[on | off]" для получения более подробной информации относительно конфигурирования Packet Burst.

Запрещение LIP

Чтобы запретить LIP на рабочей станции-клиенте, добавьте следующую строку в файл NET.CFG под заголовком "NetWare DOS Requester":


      large internet packets = off

Например:


      netware dos requester

      large internet packets = off

Улучшение защиты

Вы можете улучшить защиту Вашей сети, используя предоставляемую NetWare 4 и 3.12 функцию подписи пакета NCP (NCP Packet Signature).

В последующих подразделах описаны параметры, используемые в конфигурационном файле рабочей станции-клиента (NET.CFG), процедуры их установки, а также команда SET, используемая на каждом NetWare сервере.

Использование подписи пакета NCP для улучшения защиты

Подпись пакета NCP - это усовершенствованная возможность защиты серверов и рабочих станций посредством использования архитектуры NetWare Core Protocol^TM , предотвращающая подлог пакетов.

Использование подписи пакета NCP необязательно, так как это занимает ресурсы процессора и уменьшает производительность в целом, как рабочей станции-клиента, так и сервера NetWare.

Если подпись пакета NCP не установлена, опытные сетевые операторы могут посредством манипуляций с программным обеспечением рабочей станции-клиента посылать подложные запросы NCP серверу NetWare. С помощью подделки настоящих пакетов с запросами NCP нарушитель может получить доступ ко всем сетевым ресурсам.

Как работает подпись пакета NCP

Подпись пакета NCP предотвращает подлог, требуя, чтобы сервер и рабочая станция-клиент "подписывали" каждый пакет NCP, используя шифрование по алгоритму RSA с использованием личного и общего ключей. Подписи различны для каждого пакета.

Пакеты NCP с неправильными подписями отклоняются без разрыва соединения рабочей станции-клиента с сервером. Однако предупреждающее сообщение с записью об источнике неправильного пакета заносится в журнал ошибок, посылается на соответствующую рабочую станцию и на консоль сервера NetWare.

Если подпись пакета NCP установлена на сервере и на всех рабочих станциях-клиентах сети, то практически невозможно подделать пакет NCP так, чтобы это осталось незамеченным.

Когда использовать подпись пакета NCP

Подпись пакета NCP не требуется для каждой инсталляции. Администраторы некоторых сетей могут отказаться от использования подписи пакета NCP, допуская определенный риск в защите.

Допустимый риск при организации защиты

Ниже приведены примеры ситуаций, в которых может не потребоваться использование подписи пакета NCP:

На сервере содержатся только исполняемые программы.
Всем пользователям рабочих станций-клиентов в сети можно доверять с точки зрения сетевого администратора.
Данные на сервере NetWare не имеют особой ценности; доступ к ним, их потеря или изменение не имеют существенного значения.

Серьезный риск при организации защиты

Использовать подпись пакета NCP рекомендуется в следующих случаях:

В сеть могут проникнуть неправомочные пользователи рабочих станций.
Имеется простой физический доступ к кабельной системе сети.
В сети есть неконтролируемые, общедоступные рабочие станции-клиенты.

Опции подписи пакета NCP

Доступны несколько опций подписи в диапазоне от "никогда не подписывать пакеты NCP" до "всегда подписывать пакеты NCP". Серверы NetWare и сетевые рабочие станции-клиенты имеют четыре уровня подписи, которые объясняются в приведенной ниже таблице.

Таблица 1-1. Уровни подписи пакета NCP

Номер уровня Объяснение
0 Не подписывать пакеты.
1 Подписывать пакеты, только если сервер запрашивает подпись (опция NCP сервера NetWare установлена в 2 или больше).
2 Подписывать пакеты, если сервер может подписывать (опция NCP сервера NetWare установлена в 1 или больше).
3 Подписывать пакеты и требовать от сервера подпись пакета (или регистрация в сети будет неудачной).

Действительный уровень подписи пакета

Уровни подписи для сервера и для рабочих станций-клиентов комбинируются для определения общесетевого уровня подписи пакета NCP, называемого действительным уровнем подписи пакета.

Некоторые комбинации уровней подписи сервера и клиента могут уменьшить производительность. Однако при работе с системами, мало использующими процессор, снижение производительности может не наблюдаться.

Вы можете выбрать уровень подписи пакета, который позволяет сохранять требуемую производительность системы и отвечать требованиям защиты.

В приведенной ниже таблице показаны взаимосвязи между уровнями подписи пакета сервером и рабочей станцией-клиентом.

Таблица 1-2. Комбинации действительных уровней подписи пакета сервером и рабочей станцией-клиентом

Если Сервер = 0 Сервер = 1 Сервер = 2 Сервер = 3
Рабочая станция = 0 Нет подписи пакета Нет подписи пакета Нет подписи пакета Нет регистрации
Рабочая станция = 1 Нет подписи пакета Нет подписи пакета Подпись пакета Подпись пакета
Рабочая станция = 2 Нет подписи пакета Подпись пакета Подпись пакета Подпись пакета
Рабочая станция = 3 Нет регистрации Подпись пакета Подпись пакета Подпись пакета

Примеры использования уровней подписи пакета

Этот раздел включает некоторые примеры по использованию различных уровней подписи.

Вся информация на сервере конфиденциальна

Пример Если нарушитель получит доступ к любой информации на сервере NetWare, это нанесет ущерб компании.
Решение Администратор сети устанавливает уровень 3 на сервере и уровень 3 на всех рабочих станциях-клиентах для обеспечения максимальной защиты.

Важная и не имеющая особой ценности информация расположены на одном и том же сервере

Пример На сервере NetWare имеется каталог для исполняемых программ и отдельный каталог для учета финансовых операций корпорации (например, получаемых счетов).
Решение Администратор сети устанавливает уровень 2 на сервере и уровень 3 на рабочих станциях-клиентах, которым требуется доступ к получаемым счетам. На всех остальных рабочих станциях-клиентах остается уровень по умолчанию - 1.

Пользователи рабочих станций-клиентов часто меняют свое местоположение

Пример Администратор сети не знает, кто из служащих будет работать на какой рабочей станции-клиенте, а на сервере NetWare хранится важная информация.
Решение Администратор сети устанавливает уровень 3 на сервере. На рабочих станциях-клиентах остается уровень по умолчанию - 1.

Имеется открытый доступ к рабочим станциям-клиентам

Пример С неконтролируемой рабочей станции осуществляется открытый доступ к неконфиденциальным данным, но другой сервер в сети содержит конфиденциальную информацию.
Решение Администратор сети устанавливает уровень 3 на сервере с конфиденциальной информацией и уровень 0 на рабочих станциях-клиентах.

Инсталляция подписи пакета NCP

Для инсталляции поддержки подписи пакета NCP Вы должны установить специальный параметр в файле NET.CFG на каждой рабочей станции, а на сервере NetWare использовать команду SET.

Установка на рабочей станции

Для инсталляции подписи пакета NCP на рабочей станции DOS или MS Windows добавьте следующую строку к файлу NET.CFG под опцией NetWare DOS Requester:


      signature level =номер

Например:


      netware dos requester

      signature level = 2

Замените номер на 0, 1, 2 или 3. По умолчанию устанавливается уровень 1, что позволяет предоставлять защиту от поддельных пакетов при сохранении определенной гибкости системы.

Смотрите "SIGNATURE LEVEL=число" для получения более подробной информации о том, как конфигурировать поддержку подписи пакета NCP на рабочей станции-клиенте.

NOTE: Некоторые драйверы ЛС могут работать некорректно, когда используется этот параметр. Если Вы столкнетесь с такими проблемами на практике, запретите этот параметр или обновите Ваш драйвер ЛС.

Установка на сервере

Для установки параметра "NCP PACKET SIGNATURE OPTION" команды SET в системе каждого сервера, который должен поддерживать подпись пакета NCP, введите следующую команду с консоли каждого сервера:


      SET NCP PACKET SIGNATURE OPTION =номер<Enter>

Замените номер на 0, 1, 2 или 3. По умолчанию устанавливается уровень 1, что позволяет предоставлять защиту от поддельных пакетов при одновременном обеспечении гибкости системы.

Смотрите подраздел "Preventing Packet Forgery" в 7 главе руководства Supervising the NetWork для получения подробной информации о том, как сконфигурировать на сервере поддержку подписи пакетов NCP.

Запрещение подписи пакета

Чтобы запретить поддержку подписи пакета NCP на рабочей станции-клиенте, добавьте следующую строку в файл NET.CFG под заголовком "NetWare DOS Requester":


      signature level = 0

Например:


      netware dos requester

      signature level = 0

В Табл. 1-1 содержатся пояснения для уровней подписи пакета и использование их комбинаций.

Устранение проблем при использовании подписи пакета NCP

В этом разделе приведены решения некоторых проблем, которые могут возникнуть при использовании подписи пакета NCP.

Рабочая станция-клиент не подписывает пакеты

Проблема Рабочая станция-клиент не подписывает пакеты.
Решение Не загружается файл SECURITY.VLM. Проверьте, не установлен ли уровень 0 подписи пакета. SECURITY.VLM загружается по умолчанию, если уровень подписи клиента 1, 2 или 3.
Используйте параметр командной строки VLM /V4 при загрузке программного обеспечения VLM для отображения на экране информации о загрузке.

Рабочая станция-клиент не может зарегистрироваться

Проблема Рабочая станция-клиент не может зарегистрироваться.
Решение Проверьте правильность установки уровней подписи пакета на сервере и на рабочей станции-клиенте. Смотрите "Действительный уровень подписи пакета".
Обратите внимание, что следующие ситуации запрещают регистрацию:

На сервере установлен уровень = 3, на рабочей станции-клиенте = 0.
На сервере установлен уровень = 0, на рабочей станции-клиенте = 3.
Используемая версия утилиты LOGIN не поддерживает подпись пакета.
Используемый запросчик NetWare для DOS или оболочка не поддерживают подпись пакета.

Появляется сообщение "Ошибка приема из сети"

Проблема Появляется сообщение "Ошибка приема из сети".
Решение На рабочей станции-клиенте используется версия файла LOGIN.EXE, которая не поддерживает подпись пакета NCP. Убедитесь в том, что новый LOGIN.EXE и новые файлы с другими утилитами инсталлированы на всех серверах NetWare в сети.

Модули NLM третьих фирм не работают

Проблема NetWare Loadable Module^TM (NLM) третьих фирм не работают.
Решение Если параметр "Allow Change to Client Rights" команды SET установлен в "OFF", некоторые NLM^TM третьих фирм могут не работать. Установите этот параметр в "ON".

Ненадежные рабочие станции-клиенты регистрируются в защищенном сервере

Проблема Ненадежные рабочие станции-клиенты регистрируются в защищенном сервере.
Решение На рабочих станциях-клиентах используется старая версия файла LOGIN.EXE, которая не поддерживает подпись пакета NCP. Убедитесь в том, что новый LOGIN.EXE и новые файлы с другими утилитами инсталлированы на всех серверах NetWare в сети.
Используйте опцию "Preferred Server" в файле NET.CFG всех рабочих станций-клиентов, имеющих доступ к защищенным серверам (уровень 3). Смотри "PREFERRED SERVER=имя_сервера" для получения более подробной информации о конфигурировании этой опции.

Использование других руководящих принципов защиты на рабочей станции

Кроме инсталляции подписи пакета NCP, Вы можете использовать другие возможности защиты NetWare и мероприятия по обеспечению информационной безопасности работы в сети.

Мы предлагаем использование следующих руководящих принципов защиты на рабочих станциях-клиентах:

Используйте только новейшие версии системного ПО, программного обеспечения клиента NetWare и "заплат" (patch).
Проводите регулярные проверки на вирусы.
Используйте утилиту SECURITY для обнаружения уязвимых точек доступа к серверу.
Разрешите обнаружение нарушителя и его блокировку.
Рекомендуйте пользователям разрегистрироваться, когда их рабочая станция-клиент остается без присмотра.
Установите уровень 3 подписи пакета NCP на всех находящихся без присмотра рабочих станциях-клиентах.
Требуйте для всех бюджетов использования паролей длиной не менее пяти символов.
Установите принудительную смену пароля не реже одного раза в три месяца.
Установите требование уникальности пароля.
Ограничьте число попыток регистрации.
Ограничьте число одновременных соединений.
Установите ограничения на время регистрации и адреса станций, с которых можно зарегистрироваться.

Дополнительная информация

Тема Ссылка
Установка и изменение файла NET.CFG для Packet Burst, LIP и подписи пакета NCP Глава 2 "Справочник опций NET.CFG"
Установка поддержки Packet Burst на сервере NetWare Глава 7 "Maintaining the NetWare Server" в руководстве Supervising the Network
Установка поддержки Large Internet Packet (LIP) на сервере NetWare Глава 7 "Maintaining the NetWare Server" в руководстве Supervising the Network
Установка поддержки подписи пакета NCP на сервере NetWare Глава 7 "Maintaining the NetWare Server" в руководстве Supervising the Network

Назад | Содержание | Вперед